1. Installation
Dans l’ensemble, l’installation des différents coupe-feu est relativement simple même si eTrust et VPN-1 oblige à passer par une étape de reconnaissance du réseau. Les solutions les mieux notées pour ce critère se caractérisent plutôt par l’étendue des options de traduction dynamique d’adresses IP (NAT). Le Firebox 4500 de WatchGuard se contente de partager une adresse IP externe unique pour toutes les connexions sortantes et impose d’attribuer à chaque nouvelle connexion entrante une adresse IP interne unique et cela de façon statique. WinRoute Pro, bien que destiné aux petites structures, obtient la meilleure note en se distinguant à la fois par une grande simplicité d’utilisation et par une fonction NAT complète. Le logiciel de Tiny Software propose ainsi la traduction dynamique par port (attribution pour une même adresse IP externe d’un port TCP différent pour chaque connexion entrante ou sortante).
| Les résultats | ||||
| Classement | Commentaires | Note | ||
| Tiny Software WinRoute Pro | WinRoute Pro séduit par sa simplicité de mise en ?”uvre comme par celle de son interface d’administration. | 9 | ||
| eSoft InstaGate EX2 | Son boîtier préconfiguré simplifie son installation, mais il souffre d’une interface d’administration parfois confuse. | 8,9 | ||
| Check Point Software VPN-1 NG | L’administration des coupe-feu Check Point s’appuie sur une définition d’objets réseaux et une topologie qu’il faut définir. | 8,9 | ||
| Computer Associates eTrust Firewall & VPN | Très complet pour ce qui concerne l’administration et la fonction NAT mais il n’est pas le plus simple à installer. Il utilise lui aussi une architecture objet. | 8,1 | ||
| WatchGuard Firebox 4500 | Ce coupe-feu matériel destiné aux grandes entreprises s’est révélé le plus facile à installer. Mais sa conception de la fonction NAT est trop restrictive. | 7,8 | ||
2. Suivi d’activité
Parce qu’elle détermine la capacité à analyser les événements survenus sur le réseau, la lisibilité des journaux d’activités (fichiers de log) constitue, au même titre que les fonctions d’édition de rapports d’activité, un point déterminant pour évaluer la facilité d’exploitation d’un coupe-feu. Distançant nettement ses concurrents, le Firebox 4500 de WatchGuard joue la carte de la sobriété quant à l’interface de consultation du journal. Si l’on peut regretter l’absence de couleurs pour distinguer les événements importants des autres, la richesse des options d’édition de rapports séduiront les plus exigeants. A contrario, WinRoute Pro, qui, il est vrai, n’est destiné qu’aux petites structures, se contente de journaux d’activité très sommaires. Plus surprenant est le cas de eTrust Firewall qui n’a pas de fonction de création automatique de rapports.
| Les résultats | ||||
| Classement | Commentaires | Note | ||
| WatchGuard Firebox 4500 | Le Firebox 4500 offre la plus large palette de fonctions d’interrogation des journaux d’activité. | 8,5 | ||
| eSoft InstaGate EX2 | Les journaux d’activités d’InstaGate EX2 offrent un premier niveau d’analyse, rapidement exploitable par un administrateur de réseau d’une PME. | 7 | ||
| Check Point Software VPN-1 NG | L’interface de consultation des journaux d’activité permet de visualiser en temps réel les connexions en cours. L’édition de rapports est en option. | 6,3 | ||
| Computer Associates eTrust Firewall & VPN | Les rapports sont sauvegardés sur le coupe-feu et consultables en utilisant la console d’administration. | 5,6 | ||
| Tiny Software WinRoute Pro | Malgré un classement par erreurs, refus de connexion…, les journaux ne sont ni riches ni faciles à consulter. L’édition de rapports est prévue pour une prochaine version. | 2,9 | ||
3. Simplicité de création des règles
Pour définir les règles ou politiques de sécurité, les logiciels de ce banc d’essai adoptent des méthodes sensiblement différentes : les uns utilisent l’interface réseau (le port physique du coupe-feu) comme point de référence, tandis que d’autres partent d’une application (HTTP ou FTP). Mais au bout du compte, la solution la mieux notée sur ce critère, VPN-1 NG de Check Point, se distingue par son respect exemplaire de quatre principes essentiels : une interface simple permettant de visualiser facilement les règles créées et ce à quoi elles s’appliquent, des fonctions de vérification de l’intégrité des règles, l’étendue des options d’analyse des paquets IP et la capacité d’activer les règles en fonction des plages horaires. Si cette prise en compte de la tranche horaire est aussi prévue par eTrust de Computer Associates, elle est en revanche oubliée par WatchGuard. Ce dernier reste cependant dans le peloton de tête. Ces trois coupe-feu ont en effet en commun de vérifier systématiquement l’intégrité des règles créées ou modifiées.
| Les résultats | ||||
| Classement | Commentaires | Note | ||
| Check Point Software VPN-1 NG | Sans conteste le plus complet en matière d’édition des règles, le coupe-feu de Check Point prend aussi en charge la sécurité des postes de travail. | 9,4 | ||
| Computer Associates eTrust Firewall & VPN | eTrust vérifie systématiquement l’intégrité des règles avant de les déployer. La visualisation serait plus simple si les règles n’étaient pas classées en groupes abstraits. | 7,6 | ||
| WatchGuard Firebox 4500 | Facile à prendre en main, l’interface de définition de règles regroupe les règles par type de service (HTTP, FTP, etc.). Une approche simple. | 7,4 | ||
| eSoft InstaGate EX2 | Le coupe-feu d’eSoft s’est révélé le moins confortable pour la création des règles. | 6,7 | ||
| Tiny Software WinRoute Pro | Bien que plus rudimentaire parce que destiné à de petites structures, WinRoute Pro offre malgré tout une gestion de règles assez claire, incluant la possibilité d’affecter une plage horaire de validité. | 5,2 | ||
4. Impact sur le réseau
Confronté à un flot de tentatives de connexions non-autorisées, le coupe-feu constitue un point de congestion, privilégiant par exemple la défense du réseau sur la réponse aux demandes de connexion légitimes. À l’issue de notre test, qui consistait à émettre simultanément des requêtes vers un serveur web situé dans la zone démilitarisée (DMZ) et vers un serveur dont l’accès n’est pas autorisé, il n’est pas possible de déterminer lesquels, des coupe-feu matériels ou logiciels, sont les plus efficaces sur ce point. Le VPN-1 de Check Point se distingue par son temps de réponse (4,37 secondes) alors que ses concurrents se contentent de temps de réponse d’environ 6 secondes. WatchGuard ferme la marche avec 8 secondes.
| Les résultats | ||||
| Classement | Commentaires | Note | ||
| Check Point Software VPN-1 NG | Ces algorithmes de filtrage sont ceux qui tirent le mieux parti de la configuration commune à toutes les solutions logicielles de ce banc d’essai. | 10 | ||
| Tiny Software WinRoute Pro | La compacité du logiciel et par conséquent du moteur de filtrage assurent à ce ” petit ” coupe-feu des performances dignes de solutions plus puissantes. | 7,9 | ||
| eSoft InstaGate EX2 | Doté d’un Pentium III à 700 Mhz, le niveau de ses performances est juste acceptable pour un boîtier coupe-feu. | 7,4 | ||
| Computer Associates eTrust Firewall & VPN | Conçu pour les grands déploiements, ce coupe-feu l’est sans doute aussi pour une architecture distribuée où un seul coupe-feu n’a pas à gérer toute la charge. | 7,2 | ||
| WatchGuard Firebox 4500 | Cette contre-performance s’explique par une trop faible configuration matérielle du Firebox 4500. | 6,1 | ||
5. Réseau privé virtuel
Notre laboratoire a choisi de faire porter l’évaluation des fonctions de RPV en prenant le cas d’une connexion d’un travailleur distant. Contrairement à l’interconnexion chiffrée de sites, ce cas d’école permet de se faire une idée plus précise des capacités d’un coupe-feu à gérer des tunnels de RPV. Les trois solutions les mieux notées pour ce critère (Firebox 4500, VPN-1 NG et eTrust) ont en commun de gérer aussi bien l’installation et la configuration côté client que côté serveur. Ils proposent notamment leur propre client de RPV, évitant de devoir utiliser celui du système d’exploitation.
| Les résultats | ||||
| Classement | Commentaires | Note | ||
| WatchGuard Firebox 4500 | IPSec, PPTP, système de chiffrement propriétaire à 168 bits et carte de chiffrement matérielle dédiée… | 8,8 | ||
| Check Point Software VPN-1 NG | La configuration d’un tunnel RPV se révèle un peu complexe. VPN-1 NG est le seul de ce banc d’essai à prendre en compte le standard AES. | 8,6 | ||
| Computer Associates eTrust Firewall & VPN | La gestion de RPV permet de choisir la méthode d’authentification (Radius, mot de passe) et de définir des règles d’accès par service (FTP ou Telnet). | 7,2 | ||
| eSoft InstaGate EX2 | Pas de client de RPV, mais compatible IPSec et PPTP. Chiffrement Triple DES limité par une clé de 96 bits. | 6,6 | ||
| Tiny Software WinRoute Pro | Le logiciel de Tiny Software ne propose aucune fonction de RPV, mais autorise le passage d’un trafic chiffré. | NA | ||
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
